 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 19 août
2010
No CERTA-2010-AVI-359-001 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans FreeType
Tableau 1: Gestion du document
| Référence |
CERTA-2010-AVI-359-001 |
| Titre |
Multiples
vulnérabilités dans FreeType |
| Date de la première
version |
09 août 2010 |
| Date de la dernière
version |
19 août 2010 |
| Source(s) |
Liste des changements
apportés à la version 2.4.2 de
FreeType |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service à distance ;
- exécution de code arbitraire à
distance.
FreeType versions 2.4.1 et antérieures.
Plusieurs vulnérabilités présentes dans
FreeType permettent à un
utilisateur distant malintentionné de provoquer un
déni de service ou d'exécuter du code arbitraire
à distance.
Plusieurs vulnérabilités sont présentes
dans la bibliothèque de fonctions FreeType :
- la première (CVE-2010-1797) est relative au
support des polices de caractères de type Compact Font Format (CFF) ;
- la seconde (CVE-2010-2805) concerne le traitement des
polices de type Adobe Type 1 Mac
(LWFN) ;
- la troisième (CVE-2010-2806) est due à une
erreur dans le traitement des polices de type T42 ;
- la quatrième (CVE-2010-2807) est relative à
la mise en œuvre de la macro-commande BOUNDS incluse dans certaines polices ;
- la dernière (CVE-2010-2808) est liée
à une erreur dans une fonction (FT_Stream_EnterFrame()) utilisée dans
le traitement de certaines polices.
Toutes ces vulnérabilités permettent à un
utilisateur distant malintentionné de provoquer un
déni de service ou d'exécuter du code arbitraire.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 09 août 2010
- version initiale.
- 19 août 2010
- ajout du bulletin Ubuntu.
CERTA
2012-01-04
|
|
)
